Pour garantir la meilleure expérience de navigation, veuillez activer JavaScript dans votre navigateur web. Sans cela, de nombreuses fonctionnalités du site seront inaccessibles.


Tests totaux:
485,773,462
737,046
130,956

Hong Kong PDPO Compliance

Hong Kong's Personal Data (Privacy) Ordinance (PDPO) requires data users to safeguard personal data with all practicable security steps.Learn how ImmuniWeb helps you meet Data Protection Principle 4.

Temps de lecture:8 min. Mise à jour:8 juillet 2025
Conformité à l’ordonnance de Hong Kong sur la protection des données personnelles (PDPO)
Veuillez remplir les champs surlignés en rouge ci-dessous.

Talk to a Specialist about
Hong Kong Personal Data Privacy Ordinance (PDPO) Compliance

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.

Conformité à l’ordonnance de Hong Kong sur la protection des données personnelles (PDPO)

Qu’est-ce que la PDPO de Hong Kong?

The PDPO governs how organizations collect, hold, process and use personal data. Its six Data Protection Principles cover collection purpose and means, accuracy and retention, use, security, openness, and data subject access and correction.

It applies to 'data users' who control the collection, holding, processing or use of personal data. The PCPD investigates complaints, issues enforcement notices and guidance, and the 2021 amendments introduced criminal offences targeting doxxing.

See how ImmuniWeb helps you meet PDPO Data Protection Principle 4- the security of the personal data your web and mobile apps hold. Request a demo· or run a free Community Edition test.

Qui doit se conformer à la PDPO?

La PDPO s’applique à:

  • Utilisateurs de données (publics ou privés) qui contrôlent la collecte, la détention, le traitement ou l’utilisation de données à caractère personnel à Hong Kong ou depuis Hong Kong.
  • Les organisations, quelle que soit leur taille ou leur secteur, qui traitent des données à caractère personnel des particuliers. ]]
  • Traitants de données engagés par les utilisateurs de données, qui restent responsables de la sécurité de leurs traitants.

Toute organisation exploitant des applications web et mobiles contenant des données personnelles doit prendre toutes les mesures pratiques pour les sécuriser conformément au DPP4.

Exigences clés du PDPO pour la sécurité des applications

La sécurité des applications relève du Principe de Protection des Données n° 4:

  • DPP4 - Sécurité des données à caractère personnel: prendre toutes les mesures praticables pour protéger les données à caractère personnel contre tout accès, traitement, effacement, perte ou utilisation non autorisé ou accidentel.
  • Considérations fondées sur les risques: la sensibilité des données, les préjudices qu'une violation pourrait causer, l'endroit où les données sont stockées et les mesures de sécurité appliquées aux systèmes et à la transmission.
  • Gestion des violations de données: le PCPD recommande une gestion et une notification rapides des violations, conformément à ses lignes directrices.

Exigences de sécurité de la LPPD en détail

DPP4 - Security of Personal Data

La DPP4 exige que les utilisateurs de données prennent «toutes les mesures praticables» pour garantir la sécurité des données personnelles. Pour les systèmes exposés à Internet, cela signifie tester les applications web et mobiles, les API et l’infrastructure qui contiennent des données personnelles afin de détecter les vulnérabilités, puis corriger les problèmes identifiés — avant et après tout changement significatif.

Gestion des fuites de données

Alors que la notification des violations a historiquement été recommandée plutôt qu’obligatoire, les directives de la PCPD attendent un traitement et une notification rapides. Réduire la probabilité de violation par des tests d'application réguliers est le moyen le plus efficace d'anticiper ces attentes.

Risques courants des applications Web et mobiles à remédier

Les violations de données personnelles commencent souvent par des applications web et mobiles vulnérables. Les risques que la DPP4 attend de vous de traiter correspondent étroitement au Top 10 de l'OWASP:

  • Broken Access Control — les utilisateurs accédant à des données ou à des actions qu'ils ne devraient pas.
  • Échecs cryptographiques — chiffrement faible ou absent exposant des données sensibles.
  • Injection — Injection SQL, de commande ou autre via des entrées non validées.
  • Insecure Design — contrôles de sécurité manquants par conception, pas seulement à cause d'un bug.
  • Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
  • Composants vulnérables et obsolètes — bibliothèques et frameworks non patchés.
  • Identification & Authentication Failures — weak login, session or credential handling.
  • Échecs d'intégrité des logiciels et des données — mises à jour non fiables, pipelines CI/CD non sécurisés.
  • Échecs de journalisation et de surveillance de la sécurité — les attaques passent inaperçues.
  • Server-Side Request Forgery (SSRF) — le serveur est induit en erreur pour effectuer des requêtes malveillantes.

Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.

How to Approach PDPO Application Security with ImmuniWeb

  1. Cartographiez votre exposition. Inventorie les applications et actifs exposés à Internet avec ImmuniWeb Discovery.
  2. Testez les applications web avec On-Demand (pentesting) et Neuron (scanning).
  3. Testez les applications mobiles avec MobileSuite et Neuron Mobile.
  4. Corriger et rétester grâce à des rapports exploitables et sans faux positifs – preuve de «toutes les mesures praticables».
  5. Continuez à tester en continu avec Continuous dans CI/CD et des retests périodiques.
  6. Surveillez les fuites avec la surveillance du Dark Web de Discovery.

Comment ImmuniWeb vous aide à assurer la conformité au PDPO

ImmuniWeb aide les utilisateurs de données à prendre et à prouver «toutes les mesures praticables» exigées par DPP4.

Exigence Ce que cela nécessite Produits ImmuniWeb
DPP4 Prendre toutes les mesures pratiques réalisables pour sécuriser les données personnelles. On-Demand, Neuron, Discovery, Continuous
Applications et données Secure web/mobile apps holding personal data. On-Demand, Neuron, MobileSuite, Neuron Mobile
Préparation aux incidents de sécurité Détectez les expositions et les fuites de données ; maintenez la surface d'attaque cartographiée. Discovery (ASM / Dark Web)

ImmuniWeb On-Demand et MobileSuite proposent des tests d’intrusion Web et mobiles ; Neuron et Neuron Mobile fournissent des balayages automatisés ; Continuous intègre les tests dans le CI/CD ; et Discovery cartographie votre surface d’attaque et surveille le Dark Web pour les données personnelles divulguées.

PDPO vs International Frameworks

Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:

Framework Perspective sécurité des applications Comment ImmuniWeb s'aligne
Hong Kong PDPO DPP4 sécurité des données personnelles Tests d’intrusion Web/mobile, analyse, ASM, surveillance du Dark Web
Singapore PDPA Section 24: Obligation de protection Les mêmes tests couvrent les deux
RGPD Article 32 sécurité du traitement Les mêmes tests couvrent les deux
ISO/IEC 27001 Annexe A: contrôles techniques Tests comme preuve de contrôle

Tests d'intrusion vs scans de sécurité

Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.

Liste de contrôle de conformité (Sécurité des applications)

  • Inventaire des applications exposées sur Internet et des actifs exposés
  • Applications web testées contre le Top 10 OWASP
  • Applications mobiles testées par rapport à la liste OWASP Mobile Top 10
  • Toutes les mesures de sécurité praticables ont été mises en œuvre et vérifiées (DPP4)
  • Les sous-traitants sont tenus de respecter des normes de sécurité équivalentes
  • Les failles identifiées sont corrigées et retestées ; les enregistrements sont conservés
  • Surveillance de l'exposition et du Dark Web en place

Pourquoi la conformité PDPO est importante

Le PCPD peut émettre des avis d'exécution, et toute non-conformité peut entraîner des amendes et, pour les infractions de doxxing introduites en 2021, des amendes allant jusqu'à 1 000 000 HK$ ainsi qu'une peine d'emprisonnement pouvant aller jusqu'à 5 ans. Une violation entraîne également une atteinte à la réputation dans un pôle financier majeur.

Les applications web et mobiles étant l’un des principaux vecteurs de violation, sécuriser et tester ces applications de manière démonstrable est l’un des moyens les plus clairs pour se conformer au DPP4 et réduire les risques.

Foire aux questions

  • Q
    Qu’est-ce que la PDPO de Hong Kong?
    A
    L’Ordonnance sur les données personnelles (vie privée) (chap. 486), la loi de Hong Kong sur la protection des données, en vigueur depuis 1996 et fondée sur six principes de protection des données.
  • Q
    Qui régule la PDPO?
    A
    Le Commissariat à la protection des données personnelles (PCPD).
  • Q
    Who must comply with the PDPO?
    A
    Data users (public or private) that control the collection, holding, processing or use of personal data in or from Hong Kong.
  • Q
    Qu’est-ce que le DPP4?
    A
    Le principe de protection des données n° 4 exige des utilisateurs de données qu’ils prennent toutes les mesures praticables pour protéger les données à caractère personnel contre tout accès, traitement, effacement, perte ou utilisation non autorisés ou accidentels.
  • Q
    La PDPO exige-t-elle des tests de sécurité?
    A
    DPP4's 'all practicable steps' standard is met in practice through penetration testing and vulnerability scanning of systems that hold personal data.
  • Q
    Comment ImmuniWeb aide-t-il à se conformer au PDPO?
    A
    By testing and securing the web and mobile applications that hold personal data and by monitoring the attack surface for exposure.
  • Q
    Quelles sont les sanctions prévues par la PDPO?
    A
    Avis d'exécution et amendes: les infractions de doxxing peuvent entraîner des amendes allant jusqu'à 1 000 000 HK$ et une peine d'emprisonnement allant jusqu'à 5 ans.
Veuillez remplir les champs surlignés en rouge ci-dessous.

Talk to a Specialist about
Hong Kong Personal Data Privacy Ordinance (PDPO) Compliance

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.
Parlez à un expert